この部分の広告を募集しています。 詳しくはこちら

IPSec その5

(所属カテゴリー:ネットワークセキュリティ---投稿日時:2007年12月16日)

サイト間IPSec VPN

IPSecの利用例の一つに、インターネットを介して企業の拠点(サイト)のLANを 相互接続することがあります。いわゆる「インターネットVPN」と呼ばれてい るものです。
インターネットVPNの実装方法は他にもありますが、IPSecを用いたVPNがもっ ともよく実装されています。

サイト間IPSec VPNの簡単な構成例は次の図です。

IPSec VPNによって、VPN GW1とVPN GW2間でIPパケットをESPでカプセル化し、 盗聴や改ざんができないようにします。その結果、インターネットを介して、 LAN1とLAN2間の通信を安全に行うことができるようになります。

IPSec VPNを確立するデバイスをVPNゲートウェイやセキュリティゲートウェイ と呼びます。ルータにもIPSecを実装して、VPNゲートウェイとして動作させる ことができます。

サイト間IPSec VPNの動作ステップ

サイト間IPSec VPNの動作ステップは、基本的に次の5つです。

ステップ1:
IPSec VPNに通す対象パケットがVPNゲートウェイに到着することで、IPSec VPN のトンネルの作成が始まります。IPSec VPNのトンネルは、SAですね。また、 IPSec VPNに通す対象パケットはアクセスリストで識別します。このアクセス リストを暗号アクセスリストと呼ぶこともあります。

ステップ2:
VPNゲートウェイ間でIKEフェーズ1のネゴシエーションにより、ISAKMP SAを作 成します。ネゴシエーションするパラメータは、

  • 暗号化アルゴリズム
  • ハッシュアルゴリズム
  • 認証方式
  • Diffie-Hellman交換
  • SAのライフタイム

です。ISAKMP SAを作成することで、VPNゲートウェイがお互いが正規のデバイ スであることを確認し、このあとのIPSec SA用の秘密鍵を生成することができ ます。

ステップ3:
VPNゲートウェイ間でIKEフェーズ2のネゴシエーションを行い、実際にパケッ トをカプセル化して安全に転送するためのIPSec SAを生成します。IPSec SAを 生成するにも、VPNゲートウェイ間で次のようなパラメータをネゴシーション します。

  • セキュリティプロトコル(ESP or AH)
  • ライフタイム
  • カプセル化モード
  • 暗号化アルゴリズム
  • ハッシュアルゴリズム
  • Diffie-Hellman交換

なお、IPSec SAは片方向のSAであることに注意してください。

ステップ4:
IPSec SAにパケットを転送します。実際には、IPSec SAでネゴシエーションし たカプセル化プロトコル(ESP or AH)でパケットをカプセル化して、インター ネット上に送信します。トンネルモードもしくはトランスポートモードである かもIPSec SAのネゴシエーションで決めていますが、サイト間IPSec VPNの場 合は、トンネルモードになるのが普通です。

ステップ5:
IPSec SAは、ネゴシエーションで決定したSAのライフタイムにしたがって、タ ーミネートされます。ライフタイムは時間指定や転送したパケットのバイト指 定で設定可能です。
新しいパケットがやってきた場合、再びIKEフェーズ2のネゴシエーションから 行います。

以上の5ステップで、サイト間IPSec VPNを確立してサイト間で安全な通信がで きるようになります。

このステップでみたように、IPSec VPNはパケットが到着することで確立され るオンデマンドのトンネルであることもわかります。

Google
Web n-study.com

各コンテンツの最新記事

有料コンテンツライブラリ(ITエンジニア教育資料)

ネットワーク技術雑誌レビュー

ベンダ資格受験記

オススメ!ネットワーク技術雑誌・書籍

MindMapでおべんきょ

結果を出せるコーチング

Geneのつぶやき

The Power of Words

スポンサードリンク

スポンサードリンク